Los ciberdelincuentes que están detrás de la criptominería de la botnet Stantinko han ideado algunos métodos ingeniosos para evadir la detección.
Antilavadodedinero / Cointelegraph.com
Los ciberdelincuntes que están detrás de la criptominería de la botnet Stantinko han ideado algunos métodos ingeniosos para evadir la detección.
El analista de malware, Vladislav Hrcka de la empresa de seguridad cibernética ESET se mostró casi impresionado al revelar los últimos hallazgos de la empresa, y las posibles contramedidas, en un post de su blog. «Los criminales detrás de la botnet Stantinko setán constantemente mejorando y desarrollando nuevos módulos que a menudo contienen técnicas no estándar e interesantes», escribió.
La botnet de medio millón ha estado activa desde 2012 y se propagó a través de malware incorporado en contenido pirata. Está dirigida principalmente a usuarios de Rusia, Ucrania, Belarús y Kazajistán. Originalmente se centró en el fraude de click, inyección de anuncios, fraude en redes sociales y ataques de robo de contraseñas. Sin embargo, a mediados de 2018, añadió la criptominería a su arsenal con el módulo de minería Monero.
El Administrador de tareas no te ayudará
El módulo tiene componentes que detectan el software de seguridad y cierran cualquier operación de criptominería de la competencia. El Módulo, hambriento de energía, agota la mayoría de los recursos de una máquina comprometida, pero suspende inteligentemente la minería para evitar la detección en el momento en que un usuario abre el Administrador de Tareas para averiguar por qué el PC funciona tan lentamente.
CoinMiner.Stantinko no se comunica directamente con la piscina minera, sino que utiliza proxies cuyas direcciones IP se adquieren a partir del texto de descripción de vídeos de YouTube.
Constantemente refinando las técnicas
ESET publicó su primer informe sobre le módulo de criptominería en noviembre del año pasado, pero desde entonces se han añadido nuevas técnicas para evadir la detección, entre ellas:
- Ofuscación de cuerdas: se construyen cuerdas significativas y solo están presentes en la memoria cuando se van a utilizar.
- Cuerdas y recursos muertos: adición de recursos y cuerdas sin impacto en la funcionalidad.
- Ofuscación del flujo de control: transformación del flujo de control a una forma difícil de leer y que hace que el orden de ejecución de los bloques básicos sea impredecible.
- Código muertos: código que nunca se ejecuta, cuyo único proósito es hacer que losa rchivos parezcan más legítimos.
- Código de «no hacer nada»: adición de código que se ejecuta, pero no hace nada. Esta es una forma de evitar las detecciones de comportamiento.
El «cryptojacking» de la web disminuye después del cierre de Coinhive
En noticias relacionadas, investigadores de la Universidad de Cincinnati y de la Universidad de Lakehead en Ontario (Canadá) publicaron esta semana un documento titulado: «¿Está muerto muerto el cyryptojacking después del cierre de Coinhive?».
El script de Coinhive se instaló en sitios web y abiertamente, o subrepticiamente, minó a Monero, hasta que una gran caída en el precio de Monero durante «criptoinvierno» lo hizo no rentable y la operación cerró.
Los investigadores revisaron 2.770 sitios web en los que previamente se había identificado que ejecutaban scripts de criptominería para ver si todavía estaban infectados. Mientras que solo el 1% estaba minando activamente criptomonedas, otro 11.6% todavía estaba ejecutando scripts de Coinhive que intentaban conectarse a los servidores muertos de la operación.
Los investigadores concluyeron:
«El cryptojacking no terminó después de que Coinhive se cerrara. Sigue vivo, pero no es tan atractivo como antes. Se volvió menos atractivo no solo porque Coinhive descontinuó su servicio, sino también porque se convirtió en una fuente de ingresos menos lucrativa para los propietarios de los sitios web. Para la mayoría de los sitios, los anuncios siguen siendo más rentables que la minería».